前言:中文期刊网精心挑选了无线网络安全防范措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
无线网络安全防范措施范文1
在无线网络迅速发展的今天,高校也将网络进行了深入的运用,无线网络的有利之处正在不断的放大,同时它也成为高校网络的一个组成部分。高校设置无线网络不仅可以提高教师的教学质量,增加教师教学的相互交流,还可以为学生的生活提供更多便利,让学生可以将一些课本中所没有的学习资源很好的利用。但是目前高校在网络的分布和使用上仍然存在着一定的问题,这也是高校无线网络目前需要解决的核心问题,本文也针对这些做出了具体的分析。
1高校无线网络存在的问题
我国高校目前多数已经基本实现了无线网络的分布使用,校园内也基本都已设立了无线网络的分布点,让无线网络慢慢发展成为高校网络系统中的重要部分。目前无线网络需要花费的资金投入越来越大,这对于高校而言是一笔不小的金额,网络系统的设计在高校资金占比重的指数越来越高,无线网络的体系覆盖大多还是在有线网络的基础之上设立,并且无线网络也是有线网络的一个提高与发展,高校需要将这二者充分的利用才能实现网络系统的完美结合,但是资金投入却成为目前棘手的一个问题。在网络系统中进行资源硬件共享是在所难免的,但是这一过程也无法避免一些非法的用户通过连接到无线网络免费的使用这些信息资源,同时高校中学生的部分资料包括教师的一些教学资料信息也会被盗取,甚至用在不利之处,还有一些不法分子会盗取高校的一些考试信息,导致考试题型外泄影响高校正常教学工作开展。高校中有大量的信息资源,不管是个人的信息还是教学知识方面的信息,一旦被泄露都会为教学带来很多不利影响。高校中使用无线网络的人越来越多,学生或者教师都可以通过无线网络的平台去了解到一些校园中或者是院校外发生的事情,这让无线网络的用途变得越发广泛,但是也导致无线网络的危险指数不断增加,许多人都可以通过非法的手段将高校内的网络系统信息盗取或者更改甚至发送一些错误的数据,这样一来网络信息系统接收到的就是错误的信息,而正确的信息就会被隐藏。这些非法攻击更改的信息对高校而言是巨大的损失,让高校内的网络系统没办法与互联网正常的连接使得高校发展受到阻碍。
2.1高校网络安全防范措施
为了防止高校无线网络系统不受破坏,需要设计一个更加完善的无线局域网系统,因为在无线局域网传送的数据很容易被窃取,所以无线网络系统需要进行加密以及认证,WEP就采用了加密的原理,使用的加密的密钥802.11,这样一来,只有两个设备同时具备802.11才能进行通信。其次高校无线网络中需要增加适当的检测系统,这也是为了能够更好地将网络提供的数据进行监控,如今IDS就是这个途径的检测与监控,它主要是通过检测无线网络的信号来辨别信号是否正常是否有非法侵入的信号存在,另外对数据包的分析也是检测无线网络接入是否正常的重要方法。在高校无线路由器里面都会存在一个过滤地址被称之为MAC,它可以将使用计算机的MAC地址进行加入和允许,这样除了识别到的无线数据可以进入其他的都没有权限进入,这种方法的原理是单一的,所以它的成效也存在不足之处,因为这样一来有些非法分子会想办法更改MAC的地址,所以说需要SSID来进一步加强对无线网络的保护工作。
2.2活动用户群
高校无线网络使用端口进行访问的技术是对无线网络安全系数的一个巩固,因为一旦STA与所需要访问点即AP连接之后,需要802.1x的认证工作方可继续进行,一旦认证这一过程顺利的通过之后AP就可以将端口为STA打开,一旦这一过程认证失败那么就无法识别无法打开。802.1x协议就是为了杜绝没有经过授权的高校无线网络用户的进入,允许经过授权的用户进入访问WLAN,所以在高校无线网络工作站中必须安装802.1x协议客户端才可以保证无线网络连接的正常进行,而802.1x另外的一个作用就是保证系统认证和计费正常进行。在此基础上实行AP的阻碍,这样无线网络的客户端会被阻碍,如此一来就只能访问连接AP的网络,以确保无线网络的安全性。
2.3高校数据库加密
给高校数据库进行加密是对无线网安全防范的进一步举措,高校用户在成功的进行身份验证之后就可以进入数据库,但是即便可以成功的进入数据库也并不代表可以将内部所有的信息进行查找,因为需要对数据库进行进一步的加密工作,一些应当特别保密的资料数据等都需要进行特别的保护,也需要将它们与普通的数据进行区分对待,将这些需要特别保密的数据资料信息用密文的形式进行储存是现在数据库加密最常用的方法之一,通过不同的加密方法以及加密程序可以将数据库中的信息进行不同程度的加密,对于账号这些重要的资源信息就应当采取更为高级的加密措施。高校无线网络接入点最常见的认证方式就是802.1X协议,对加密密钥的要求也要做适当提高可以适当的增加难度,这样非法用户才不会轻易的解破。其实除了上述的方法之外高校还可以将发射的功率进行适当的调整,这是从物理学的角度想出的办法,将覆盖无线网络的范围进行调控。
2.4划分高校用户群设定安全措施
如今在高校网络大氛围下,一般无线网络的使用用户主要分布在办公地点或者高校内的计算机房,这些用户都是固定的用户群,这些地点都是使用互联网最多的地方而且几乎是时刻使用,其次还有一些流动性的用户群,主要是高校内学生的手机或者笔记本以及教师的电脑等等,由于用户所在的地点不固定所以使用地点也就不固定,还有一类用户,这类用户是临时使用,一般就是开会时或者有大型活动时才会使用。将这些用户群划分之后才可以按照他们的划分不同来选择合适的安全操作方案措施。高校内使用比较普遍的就是利用WEP进行加密保护,但是由于使用的用户以及地点人群的不同,所以可以列出相应的安全防范措施,对于第一类固定的用户群其实完全可以将MAC的地址进行固定限制,不允许非法用户的访问,让非法用户没有访问权限。无线网信息将IP地址进行统一,通过这种方法可以将非法的用户进行剔除。对于第二类流动性的用户可以让他们进行端口访问,将工作站即STA与访问点即AP进行连接,连接成功后通过802.1X协议系统认证正确后才可以进行访问,只要确保认证过程是正确的,那么AP便可以为STA提供端口,否则是没有访问权限的。这样一来802.1X协议不仅有着端口访问的决定权而且还可以将认证与计费进行一体化管理。最后一种用户群可以采用设置密码作为访问的权限,用户必须通过密码的正确输入才能有权限进入无线网络,这样可以保证无线网络的安全性,也可以避免非法用户对无线网络的不正当使用。
3结束语
高校内无线网络的建立可以让高校学生的学习和生活得到一定的改善,但是在无线网络不断发展的今天却也为高校发展带来了一定的隐患,在科技水平不断改革创新中应当保证高校无线网络的安全操作,同时实现资源信息的共享让高校可以真正意义上的实现互联网时代的教学。对于高校而言要想让无线网络可以正常使用必须要保证它的安全性,高校无线网络由于其自身存在的不足之处,应当从多方面多角度考虑无线网络的安全性,这也是我国高校应当共同努力的方向。
作者:张乐 单位:运城学院
引用:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012.
无线网络安全防范措施范文2
关键词:无线网络;安全防范措施;现代企业
1.无线网络在现代企业的应用
无线网络包含3个层次,分别是网络层、数据层、物理层。无线网可以通过介质进行传导连接,传递信息,将数据传导到任意端口,实现资源共享,可以提升信息的及时性。
现代企业的无线网应用根据不同的企业类型,不同的面积应用范围不同。概括来说,企业的工作地区会设置无线网和监控设施相联合,监控工作环境,随时全方位地反映运作过程和进度,方便调度工作,还可以从一定程度上保护工作人员的财产安全。其次,通过无线网生产数据可以随时交换,随时通过大数据的分析掌控生产状况。再者,工作人员的工作也可以通过无线网进行工作的衔接,领导层可以下达命令到下层,方便快捷。
移动办公网络:在开阔办公环境中使用无线网络系统,可以使业务人员、管理者等使用具有无线功能的计算机,无论是在办公室、会议室、洽谈室,甚至在茶水间都可通过无线网络随时查阅资料、获取信息。
事实上,无线网络在现代企业中的应用已经深入到各行各业当中,应用范围包括室内场地和室外场地,像公司的办公室、会议室;工厂的车间、仓库;交易市场的大厅,休息室;公共场所的商场,校园里的地区,还有一些特殊场合也有无线网络,例如油田、港口、码头、野外勘测实验地等。以下几个实例证明无线网络己渗透到生活方方面面,无处不在。
首先,酒店的业务多样决定了功能区的多样性,有会议厅、餐厅、酒吧等不同的功能区,为了满足现代消费者的需要,酒店都会部署无线网络,将顾客与外界随时联系起来,更加容易地获得需要的相关信息;另外,许多酒店都开通了网络预订的服务,此项服务需要与无线网络融合进行酒店业务的推广,提升酒店的竞争优势。
其次,医疗行业也离不开互联网的应用。现代医院的看诊人员越来越多,传统的服务不能满足人流量增加的需要,医院也采取了信息化的变革,而随着医院无线网络的应用和信息化的加快,现在的医院建立了计算机管理系统,病人可以通过机器自行存取医疗费,取化验单等服务,病房里还建立了病人监护设备,药房里建立了药品等信息管理系统,方便患者取药,节约时间。无线网络还可以使医生、管理者和患者可以在服务端口随时随地存取信息,让患者自由选择时间,不必等护士医生上班。
最后,如今的校园也覆盖了无线网络。作为当代学生,未来社会的建设者,自然要与时俱进,现代学生学习需要获取最新信息和素材来辅助学习,自然希望能在校园内随时随地可以上网,获取信息。因此很多学校尤其是大学校园,不仅是室内,还有室外都覆盖了无线网络,使空旷的校园随处充满信号,随地随时可以上网,实现学生随时随地获取课件、访问互联网、联系同学老师等需求。
2.企业无线网络安全现状
目前大多数企业没有从整体上来规划和设计无线网络的安全防卫应用,只是孤立地单方面应用某项安全措施或者技术,显然这种方式是无法满足企业对安全性的要求的,还会造成许多负面影响。这种做法使无线网络的优点无法充分发挥,资源的共享性减弱,工作效率降低,达到适得其反的结果。
大多数的企业采用的是Web技术,这是一种直接对数据进行加密的方式。它有一定的合理性,加密后的信号不容易被获取,也不容易被破译。但是缺点也很明显。Web技术的密钥是共享的,所以密钥的安全性无法保证,极易被获取和泄漏,从而泄露信息。而且这种密钥的强度太低,不能抵挡破译的编程。并且,一般的企业如果没有对AP进行设定,相当于访问权限的设定,那么无线网络对于很多用户是无安全保障的,因为任意一个符合条件的网卡都可以随意接入网络。企业采用MAC进行地址的控制,虽然起到了一定作用,但是这种方法的缺点是管理麻烦,扩展能力弱,不适合企业的发展。
3.无线网络的安全防范措施
虽然目前无线网的应用广泛,也方便了现代企业的工作处理,但在保护公司的信息安全等方面的措施还有待完善,那么目前无线网络存在哪些隐患又有哪些防护措施呢?
3.1安全隐患
无线网络较之传统的宽带,它更具公开性。比如去商城游玩,可以享受里面的无线网;到某个公司附近,可以搜索到它的无线网,甚至可以用“万能钥匙”等APP进行破密。可以看出,无线网络更具受攻性,加之现代企业的竞争加剧,更让有心人想借无线网络为突破口,伺机窃取一些信息。所以无线网络存在的安全隐患限制了它的发展。
第一,网络极易被发现。一般来说,无论是个人还是企业都不会公布自己的网络IP,但是信息化的时代,一切都不是秘密。由于无线网络自身的特殊性,传导的范围广,信号强,很容易被发现,还可以通过探测工具,轻松而准确地探知到网络,从而进行攻击,增加了无线网络的安全隐患。
第二,密码被破解。很多用户在使用无线网络时,虽然设置了密码,但是一般比较简单,容易攻破,不利于保护隐私。而对于企业来说,密码相对来说比较复杂,但是一般密码无非是字母、符号和数字组成,虽然组合多样,但是对于专业人员来说还是可以破译的,所以危险还是存在,即使密码设置得很长很复杂也有可能被破解,安全隐患依旧存在。
第三,地址欺骗。一般的公司人员相对比较多,结构也比较复杂,因此对于无线网络的权限设置很重要。如果无线网络管理的人员没有依照相关的规定设置各个人员的访问权限,就可能出现人员乱访问的现象,不利于信息的安全保护,还会暴露地址。
第四,通信可能被窃听和录音。无线网的应用和介质都可以加以利用,它的功能和转发器有异曲同工之效,可以窃听有关工作人员的通信内容,从而窃取有利的信息,进行转发输送出去,还可以转换信息,破坏信息的传送。
3.2防范措施
第一,对公司的服务集标识设置保密措施。服务集标识是指SSID,它是一个口令和标志,区分不同地区的无线网络,相当于公司的局域网的名称。一个公司的无线网络可以通过选择SSID来选择登陆,选择不同登陆的无线网络不同。因此一个公司的服务集标识越隐蔽,信息越难被挖掘。但是服务集标识具有低安全性,因此要对其设置保密措施,保护它的隐蔽性。还应要求公司人员不要随意公布公司的SSID。
第二,安装杀毒软件和防火墙等防护软件。尽管公司对无线网会作相应的防护,但是仍然不能百分之百地避免受到攻击,因此要做一些防护措施。最简单无非就是类似于计算机一样,安装防火墙和杀毒软件来阻挡恶意插件,防止信息的泄露。还要注意,服务器的防火墙要定时进行更新,不然无法适应不断变化的恶意插件,安全隐患加大。
第三,物理过滤。对于一些规模较小的企业来说,不适宜建立庞大的服务器防o系统。不仅企业的经济效益跟不上,还有可能造成机构冗杂,不适宜企业的经营等情况的出现。小规模企业要另辟蹊径,寻找新的方法。物理过滤就是一个不错的选择。物理过滤主要是对地址进行过滤,就是将每一个允许的访问者的地址都输入到服务器中,由于小规模企业的人员不是很多,地址数量也不会庞大,一般的服务器都可以容纳,不会增加新的经济负担。再者,这样隔绝了外来者的访问以及地址不明的访问者。但是这种方法对于使用者来说过于繁琐且复杂,增加操作过程。
第四,对无线网络进行审计工作。很多企业会对通信数据进行加密,但是过于依赖设备计数器来通知管理人员通信数据正在被加密。这种行为可能存在漏洞,因此要对无线网络进行审计,定时使用通信分析器来检查通信的机密性,设计一整套方案来确保审计工作的执行。
无线网络安全防范措施范文3
关键词:无线网络 安全隐患 解决方案
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)09(a)-0018-01
1 引言
1.1 无线网络简介
无线网络是以电磁波为信息交换介质进行网络信息的传递与共享,根据网络覆盖范围、速率以及用途可大概分为以下几类。
无线广域网(WWAN,Wireless Wide Area Network)是通过卫星进行数据通信,覆盖范围广,典型技术有3G、4G传输速率较快。
无线城域网(WMAN,Wireless Metropolitan Area Network)主要是移动电话或车载装置移动通信,覆盖城市大部分地区,代表技术有IEEE802.20标准、IEEE802.16标准体系。
无线局域网(WLAN,Wireless Local Area Networks)覆盖范围较小,连接距离50~100m,代表技术有IEEE802.11系列和HomeRF技术。
无线个域网(WPAN,Wireless Personal Area Network)一般指个人计算中无线设备间的网络,传输距离一般为10 m,代表技术有IEEE802.15、ZigBee和Bluetooth技术。
无线体域网(BAN,Body Area Network)主要是指体表或体内传感器间的无线通信,多应用于医疗、军事方面,传输距离约为2m。
1.2 无线网络安全现状
无线网络传输媒体的开放性,、网络中应用终端的移动性、网络拓扑的动态性等都增加了网络安全风险。只要在特定无线电波范围内,通过适当的设备即可捕获网络信号,从而轻易传播病毒或间谍软件,且由于无线终端的计算和存储有限,故不能直接应用有线网络中的成熟的安全方案和相关技术。一般而言,由电信等ISP部署的较大无线网络,其安全机制较为完善,而中小规模的无线网络则可能由于技术水平、安全意识、硬件设备投入等因素造成安全性较低,总之,无线网络安全性能差,安全管理难度大,且管理措施实施困难。
2 无线网络安全问题
2.1 网络隐蔽性差
无线网络是运用射频技术连接网络,通过一定频率范围的无线电波传输数据,在信号范围内黑客可以凭借一台接受设备,例如,配有无线网卡的计算机便可轻易登陆该无线网。
2.2 防范意识差
很多无线网络用户都未设置安全机制或设置较为简易密码,这一现象多见家庭用户。这就为他人非法侵入提供了条件,埋下重大安全隐患。
2.3 窃听、截取和监听
所谓窃听是指偷听流经网络的计算机通信的电子形式;监听是对未使用加密认证的通信内容进行监听,并通过终端获得内容,或通过工具软件监听、截取并分析通信信息,来破解密钥得到明文信息,来辅助进一步攻击。
2.4 拒绝服务
这类攻击中攻击者恶意占用主机或网络几乎所有资源,或是攻击无线网络中的设备使其拒绝服务,再或是利用同频信号干扰无线信道工作,从而造成用户无法正常使用网络。
2.5 非授权访问
无线网络的开放身份验证只需提供SSID或正确WEP密钥即可,容易受黑客攻击。而共享机密身份验证的“口令-响应”过程则是通过明文传送的,故极易被破解用于加密的密钥。此外,由于802.1x身份验证只是服务器对用户进行验证,故容易遭到“中间人”窃取验证信息从而非法访问网络。
3 无线网络安全解决方案
3.1 接入控制
合理控制所有接入无线网络的所有的物理终端,例如,针对设备信号覆盖范围问题,须选择合理的位置,限制可达无线基站范围以内的控制访问量。
要求所有无线网络用户设置一个严格的身份验证安全机制,建立用户认证,对网络中的设备定期进行密码变换。也可利用直接序列扩频技术(DSSS)加强硬件的抗干扰性,利用WEP和WPA加密技术,避免入侵。面对授权用户设置授权区域和可访问的资源,对于非法入侵者一律拒绝访问。
3.2 隔离策略
在构建企业、校园无线网络时,要注意与内部网络的隔离,在AP和内网之间设置防火墙、筛选器等设备避免无线网络被攻击后的进一步的侵害。且由于无线网络用户的不确定性和移动性,需要对用户之间的互访进行隔离,使客户端只能访问AP接入的网络,保证各方之间的安全接入。
3.3 数据安全
对于无线网络中的数据安全,首先鼓励相关用户积极使用无线加密协议对无线网络中的信息进行加密,防止非法用户对无线网中的信息进行篡改、截取等操作。再者,无线网络数据安全防范主要措施在于网络动态主机配置协议的禁用,同时还要设置无线设备的MAC地址过滤功能,有效控制无线客户端的接入。此外合理管理IP分配方式也至关重要,或通过动态分配减轻繁琐的管理工作,或通过静态地址控制IP,防止入侵者自动获取。最后,无线网络之间的数据传输中要禁止SSID广播并改变服务集标识符,以保证用户终端接入点和网络设备之间的相对独立,从而确保无线网络数据的安全。
4 结语
无线网络进一步加强了人们日常生活与网络之间的联系,极大地便捷和丰富了人们的生活,尤其在电商经济高速发展的大背景下,它具有极大的经济前景,当然也要对其技术背后的安全性问题有足够认识,只有同时注意到它的优势与风险,才能更好发挥其潜力。
总之没有绝对安全的网络,只有足够的安全防范意识,合适的防范措施,不断改进的技术与管理才能真正保证无线网络环境的安全。
参考文献
[1] 朱建民.无线网络安全方法与技术研究[D].西安电子科技大学博士论文.
[2] 张丽.无线网络安全的思考[J].科技创新论坛・硅谷,2012(6).
[3] 杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2006(2).
无线网络安全防范措施范文4
关键词:内部网络;技术;措施
现在,人们虽然都对网络安全问题有一定的了解,但是却只有部分人群真正认识网络安全威胁从何而来。许多人认为,企业的内部网络威胁主要是外界的网络攻击,但是实际上企业的内部网络安全威胁往往更大。
由于许多企业都对局域网和互联网实行各种信息共享,使得企业的内部网络往往在“众目睽睽之下”,虽然大多数企业都有采取各类防火墙来作为护盾,但是黑客的手段也随之提高,不时的出现各类网络入侵进和攻击。许多发达国家的企业在内部网络安全方面,投资相当之多,可见内部网络安全威胁,对于公司防范措施的选择上有着必要的关系。
一、内部网络存在的安全威胁
(一)交换机的安全隐患。交换机是每个企业网络中必然存在的设备,也正因为此设备的广泛使用,使得其在网络中,被攻击的次数最多。
(二) windows更新不及时。由于各个企业公司的网络电脑众多,所以很难保证将每台电脑都能及时对windows软件进行更新安装,这也就无形中增多了安全的漏洞,使得整个内部网络安全处于威胁当中。
(三)防病毒软件的更新。黑客的攻击手段,每天都在因为防病毒软件的日益完善,而不断提高,所以就需要企业的内部网络及时对防病毒软件进行更新,以便应对最新的网络病毒。
(四)USB的使用问题。USB设备的使用频繁度是惊人的,据相关统计,每个企业每天使用USB的频率是所有设备最多的,但是USB设备的特殊性,使得对它的安全防范过低。Win
dows系统的USB保护措施很少,大部分系统只能使用简单的启用和禁用USB来作为防范措施,这显然是不够的,所以很多黑客都把USB存储设备当成攻击和入侵的主要着手点。
(五)企业内部网络账号密码设置过于简单。许多企业的内部操作者,对于账号和密码设置的都非常简单,这样给入侵者带来极大的方便,可以说,使用这样的屏障如履薄冰。
(六)无线网络的使用。现在多数电脑都有无线访问功能,但是无线连接的同时,会对有线网络安全构成极大的威胁。
二、内部网络安全常见的防范技术
(一)安装防病毒软件和防火墙。安装防病毒软件和防火墙,能有效保护网络安全,但是并不能完全使得网络处于绝对安全之中。
(二)认证技术。认证可以对各种消息系统的安全起到重要作用,它是防止各类网络黑客入侵和攻击的有效技术。
(三)访问控制。访问控制的主要功能是,使得网络资源不会被非法访问,更不会被非法使用,对于访问控制的设置,可以根据网络环境自由选择。
(四)计算机取证技术。许多电脑本身有对黑客的入侵和攻击行为,会有计算机取证技术对其进行重建,以便于使用法律武器打击犯罪分子。但是现在相关法律还在不断完善当中。
三、内部网络安全防范的重要措施
(一)加强网络交换机的安全防范。首先要将VLAN ID在每个端口上都有设置,对不常使用的端口禁止使用。其次要通过合理设置,关闭每个终端端口的DTP。另外对限制用户的网访问设置为非授权用户。
(二)完善USB设备的安全管理。由于USB设备是最大的网络隐患之一,因此,要作出相应应对措施。
可以将每台电脑的USB接口封死。也可以利用相关软件,对每个终端电脑进行管理。另外内部网络安全系统软件,大多拥有控制接口的功能,可以加以利用,以便控制USB设备安全威胁。
(三)进行内部网络操作培训。可以定期对内部员工计算机的操作进行相关培训,减少失误带来的安全隐患。
(四)建立可靠的无线访问。对整个网络进行审查,将对工作没有任何用处的无线网络排除,使其处于防火墙之外。
(五)及时升级windows软件。Windows不时就会对漏洞进行维护,并对软件进行更新,所以,要让内部网络计算机及时升级更新微软相关软件,保障网络安全。
(六)使用正版杀毒软件。各类杀毒软件,都有破解版本出现,但是离正版软件有很大差距,所以要求企业购买比较知名的杀毒软件。并对软件的更新作出及时升级。
结语:网络安全防范措施,是从不断的日常工作经验中,积累总结而得出的,因此要根据企业的内部实际,采用适当的相关技术,来完善补充,才能真正起到保护内部网络安全的目的。
参考文献:
无线网络安全防范措施范文5
关键词:无线网络;安全风险;安全防范
1概述
医院内部无线网络(Hospital Internal Wireless Networks),既包括允许用户在医院内部范围内建立远距离无线连接的网络。
2009 年,国家新医改政策出台,其中信息系统首次成为我国医疗卫生体系建设的重要支撑。医院信息系统经过多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线医疗信息系统。随着无线网络技术的日趋成熟,医院内部无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛。通过无线医疗信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院的综合管理。
2医院内部无线网络的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于内部无线网络的依赖程度也越来越深。医院内部无线网络作为原有医院内部有线网络的补充,扩展了有线网络的应用范围,但是也将相对封闭的医院内部有线局域网络环境转变成了相对开放式的网络环境。其安全性不仅影响到医院内部无线医疗信息系统的使用,同样也影响到与其相连的有线网络环境中应用的其他医院信息系统。因此医院内部无线网络的安全将直接影响到医院整体信息系统的安全。医院内部无线网络一旦被破坏,将会造成医院信息系统的数据被窃取、网络瘫痪、医疗业务被中断等等一系列严重的后果。由于医院医疗数据的敏感性,以及无线网络通过无线信号传输的特性,使得医院内部无线网络面临的安全风险越来越突出。
根据相关运行情况分析, 医院内部无线网络主要存在以下安全问题:①非法AP的接入:无线网络易于访问和配置简单的特性,使医院内部网络管理员和信息安全管理员非常头痛。因为任何人都可以通过自己购买的AP利用现有有线网络,绕过授权而连入医院内部网络。用户通过非法的AP接入手段,可能会给医院整体内部网络带来很大的安全隐患。②非授权用户的接入:非授权用户往往利用各类无线网络的攻击工具搜索并入侵,从而造成很严重的后果。非授权用户的入侵会造成网络流量被占用,导致网络速度大大变慢,降低网络带宽利用率;某些非授权用户会进行非法篡改,导致医院内部无线网络内的合法用户无法正常登陆;更有部分非授权用户会进行网络窃听和数据盗窃,对病人以及医院整体造成相当大的损失。③服务和性能的影响:医院内部无线网络的传输带宽是有限的,由于物理层的开销,无线网络的实际最高有效吞吐量仅为标准的50%。医院内部无线网络的带宽可以被几种方式吞噬,造成服务和性能的影响:如果攻击者从以太网发送大量的Ping流量,就会轻易地吞噬AP的带宽;如果发送广播流量,就会同时阻塞多个AP;传输较大的数据文件或者运行复杂的系统都会产生很大的网络流量负载。④地址欺骗和会话拦截:由于医院内部使用无线网络环境,攻击者可以通过地址欺骗帧去重定向数据流和使ARP表变得混乱。通过一些技术手段,攻击者可以获得站点的地址,这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话,通过监测AP,然后装扮成AP进入,攻击者可以进一步获取认证身份信息从而进入网络。⑤数据安全问题:由于无线网络的信号是以开放的方式在空间中传送的,非法用户、黑客、恶意攻击者等会通过破解用户的无线网络的安全设置,冒充合法识别的身份进入无线网络进行非法操作,进行窃听和截取,从而达到不法操作或破坏信息的目的,从而给医院带来相对应的损失。
3医院内部无线网络的安全防护目标
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。具体地讲,为了有效保障无线网络的安全性,就必须实现以下几个安全目标:①提供接入控制:通过验证用户,授权接入特定的资源,同时拒绝为未经授权的用户提供接入。②确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。③防止拒绝服务攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
4医院内部无线网络的安全防护技术
无线网络的安全技术这几年得到了快速的发展和应用,下面是目前业界常见的无线网络安全技术:
4.1服务区标识符(SSID)匹配 SSID(Service Set Identifier)将一个无线网络分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
4.2无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址。网络管理员可在无线网络访问点AP中维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
4.3无线接入点(AP)隔离 AP(Access Point)隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法多用于对酒店和机场等公共热点(Hot Spot)的架设,让接入的无线客户端保持隔离,提供安全的网络接入。
4.4有线等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b标准规定的一种被称为有线等效保密的可选加密方案,其目的是为无线网络提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。WEP2,是根据WEP的特性,为了提供更高的无线网络安全性技术而产生。该技术相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量的长度由24位加长到128位。
4.5端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x提出基于端口进行网络访问控制的安全性标准,利用物理层特性对连接到网络端口的设备进行身份认证。如果认证失败,则禁止该设备访问网络资源。
IEEE 802.1x引入了PPP协议定义的可扩展认证协议(EAP)。作为可扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
4.6无线网络访问保护(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
WPA2是基于WPA的一种新的加密方式,向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
4.7高级的无线网络安全标准(IEEE 802.11i) IEEE 802.11i安全标准是为了增强无线网络的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制,使得无线网络的安全程度大大提高。
5医院内部无线网络的安全实现
5.1合理放置无线设备 无线网络的信号是在空气中传播的,任一无线终端进入了设备信号的覆盖范围,都有可能连接到该无线网络。所以医院内部无线网络安全的第一步就是,合理规划AP的放置,掌控信号覆盖范围。在架设无线AP之前,必须选定一个合理的放置位置,以便能够限制信号在覆盖区以外的传输距离。最好放在需要覆盖的区域中心,尽量减少信号泄露到区域外。
5.2无线网络加密,建立用户认证 对于医院内部无线网络的进行加密,建立用户认证,设置相关登录用户名和密码,而且要定期进行变更,使非法用户不能登录到无线设备,修改相关参数。实际上对无线网络来说,加密更像是一种威慑。加密可细分为两种类型:数据保密业务和业务流保密业务。只有使用特定的无线网络加密方式,才会在降低方便性的情况下,提高安全性。
5.3 SSID设置 无线 AP 默认的设置会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWS自带扫描功能,可以将能联系到的所有无线网络的 SSID 罗列出来。因此,设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串,同时设置SSID隐藏起来,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出 SSID 全名也是无法接入到这个网络中去,以此保证医院内部无线网络的安全。
5.4 MAC地址过滤 MAC 地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的MAC 地址下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
5.5 SSL VPN 进行数据加密和访问控制 由于在实际医疗活动中,为了满足诊断、科研及教学需要,必须经常大量采集、、利用各种医疗数据。由于原有医院网络的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院内部无线网络是相对开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。SSL VPN 即指采用SSL 协议来实现远程接入的一种VPN技术。SSL VPN 基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN 的方式又能保证医院信息系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
5.6核心网络隔离 一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击, 但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。所以必须将无线网络同易受攻击的核心网络进行一定的安全隔离保护,应将医院内部无线网络布置在核心网络防护外壳的外面, 如防火墙、网闸等安全设备的外面,接入访问核心网络采用SSL VPN等方式。
5.7入侵检测系统(IDS) IDS(Intrusion Detection Systems)入侵检测系统,不是只针对无线网络检测的系统,同样也适用于有线网络。入侵检测技术可以把无线网络的安全管理能力扩展到安全审计、安全检测、攻击识别和响应等范畴。这样不仅提高了网络的信息安全基础结构的完整性,而且帮助对付恶意用户对整体医院网络内其他用户的攻击。依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
5.8终端准入控制 终端准入控制主要为了在用户访问网络之前确保用户的身份信任关系。利用终端准入控制,医院能够减少对系统运作的部分干扰,因为它能够防止易损主机接入网络。在终端利用医院内部无线网络接入之前,首先要检查它是否符合制定的策略,可疑主机或有问题的主机将被隔离或限制接入。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头,保证只有在满足终端准入控制策略的无线终端设备才能接入医院网络。
6结论
随着无线网络越来越受到普及,本文浅析了医院内部无线网络存在的几种安全隐患,并探讨了对应的几种防范策略。总的来说,世界上不存在绝对安全的网络,任何单一的安全技术都不能满足无线网络持续性的安全需求,只有增强安全防范意识,综合应用多种安全技术,根据不同的医院自身应用的特点,选择相应的安全防范措施,通过技术管理和使用方法上的不断改进,才能实现医院无线网络的安全运行。
参考文献:
[1]Zerone无线安全团队.无线网络黑客攻防[J].中国铁道出版社,2011(10).
[2]中国密码学会,无线网络安全[J].电子工业出版社,2011(9).
无线网络安全防范措施范文6
海南省高级技工学校 翁启文
【摘要】随着笔记本电脑、平板电脑、智能手机D等电子设备的不断普及,随处可见标语“内设WIFI”,无线上网正式成为一种主流。无线上网既灵活又方便,还能摆脱物理连接的位置束缚,现在多数家庭台式机都舍弃有线连接,增加无线网卡实现无线连接,但无线上网也有不足的地方就是容易被蹭用网络,会影响速度及产生很多不安全因素。所以,有必要设置防范措施,让无线上网实现安全可靠。
【关键词】网络无线;黑客;安全设置方法
1.使用动态加密类型
无线路由器具有多种类型的加密功能,不同类型的安全防范能力也不一样。在实际使用无线网络时,很多用户加密意识薄弱,追求使用方便或是根本不知道有加密设置,没有及时为无线网络设置密码。即使为无线网络设置了密码,大都选用的是安全防范能力一般的WEP静态密码,这种密码很容易被黑客破解,因为恶意用户只要收集到一定数量的封包,并采用反复推算的方法,就能轻易窃取无线网络登录密码,现在网络上随处可见破解WEP密码的方法及软件。
为了防止黑客肆无忌惮的攻击无线网络,建议大家选用动态类型的登录密码,因为这类型密码在无线上网的时候会动态变化,黑客往往很难从不断变化的密码中破解出数据传输内容。动态类型密码包括WPA密钥、WPA2密钥、WPA-PSK密钥、WPA2-PSK密钥等,其中WPA的密钥位数达到128位、WPA2密钥的位数包括128位、192位、256位等,而且这种加密类型还支持消息完整性检查功能,该功能能有效防止黑客伪造数据传输包。
本文使用常见的TP-Link WR941N无线路由器作为操作蓝本,其他无线路由器设置基本类似。在为无线网络加密时,Z先以系统管理员身份登录无线路由器WEB页面,在【无线设置】功能中选择【无线安全设置】选项,在该分支右侧显示区域中选择【动态加密WPA-PSK/WPA2-PSK】选项,设置认证类型、加密算法和填写PSK密码,如图1所示,最后重启无线路由器后即可实现使用密码安全登录。
图1
图2
2.缩小可用IP地址范围
在进行无线上网时,客户端需要先从无线路由器服务端获取有效IP地址,才能成功上网访问。如果我们能根据实际需求缩小无线网络的可用IP地址范围,也能在一定程度上拦截恶意用户的非法连接。
例如,某办公室或家庭中只有3台客户端上网,那么只需要保留3个IP地址即可,当每台客户端都上网时,其他人是不能访问网络的。登录无线路由器WEB页面,在【DHCP服务器】功能中选择【DHCP服务】选项,在该分支右侧显示区域中选择启用【DHCP服务器】,填写地址池开始和结束地址、地址租期、网关、主和备用DNS服务器,如图2所示,最后点击【保存】按钮即可实现该功能。
3.隐藏无线网络服务集标识(SSID)
SSID是Service Set Identifier的缩写,意思是服务集标识。每个无线网络都有一个SSID,黑客之所以能找到附近可用的无线网络,主要是通过扫描SSID来达到目的的。而很多用户平时都会使用无线路由器的默认设置开启SSID。若关闭开启SSID功能,黑客就不容易发现本地无线网络SSID,自然就谈不上蹭用甚至是攻击网络了。设置方法是,登录无线路由器WEB页面,在【无线设置】功能中选择【基本设置】选项,在该分支右侧显示区域,【开启SSID广播】选项默认处于选中状态,需要取消该选项的选中状态,同时执行设置保存操作,如图3所示。
然而,通过字母和数字组成的SSID即使没有设置“广播”,入侵者通过bt3、bt4、网络蚂蚁等工具也可扫描到对应的无线网络并顺利入侵。只有将SSID信息修改为中文才能彻底避免上述问题出现。市面上有一些设备完全支持中文SSID无线网络设置,不过还有很多设备并不支持使用中文来命名SSID,遇到这种情况,可通过查阅相关书籍后进行解决。究其原因,一方面是因为中文字符在这些软件中会显示乱码;另一方面是因为很多入侵工具都是国外开发者开发的,对中文不支持、不兼容。
图3
4.过滤陌生客户端MAC地址
如果黑客攻击水平很高,上述防范措施并不足以保护无线网络安全。可以通过过滤客户端MAC地址的方法来阻止陌生客户端访问网络。MAC(Medium/Media Access Control)地址,或称为物理地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字节(48位)。其中,前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“编制上唯一的标识符”(Organizationally Unique Identifier),后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一性)。
图4
图5
所以,一个网卡设备通常会有一个全球唯一固定的MAC地址,将办公室或家庭客户端的网卡物理地址手工添加到无线路由器自带的MAC地址过滤表中,这样一来,日后只有客户端系统的MAC地址与MAC地址过滤表中的内容一致,才会被无线路由器识别为合法客户端,才有权限接入无线网络进行上网访问。而其他客户端在连接无线路由器时,会被识别为非法连接,会被无线路由器拦截,不能上网访问。设置方法是,登录无线路由器WEB页面,在【无线设置】功能中选择【无线MAC地址过滤】选项,在该分支右侧显示区域开启【MAC地址过滤功能】,【过滤规则】功能选中【禁止列表中生效规则之外的MAC地址访问本无线网络】,最后手工添加信任客户端MAC地址到【添加新条目中】即可实现过滤访问功能,如图4所示。
5.开启数据过滤封包
黑客想要成功破解无线网络的访问密码,就必须向无线路由器发送大量的数据封包信息,并通过专业的数据传输分析工具探测有利于入侵网络的有效信息。如果无线路由器开启防火墙过滤封包功能,将黑客发向路由器的大量封包数据过滤掉,就可以阻止黑客破解访问密码。设置方法是,登录无线路由器WEB页面,在【安全功能】功能中选择【高级安全设置】选项,在该分支右侧显示区域启用【Dos攻击防范】,有选择地进行相关过滤设置,最后执行保存设置操作,如图5所示。
参考文献
[1]崔北亮著.CCNA学习与实验指南(修订版)[M].电子工业出版社,2012.
[2]张选波,王东编著.设备调试与网络优化(学习、实验指南)[M].科学出版社,2009.
